हाल ही में, गूगल ने अपनी आर्टिफिशियल इंटेलिजेंस पर आधारित फज़िंग टूल OSS-Fuzz के माध्यम से 26 ओपन-सोर्स कोड रिपॉजिटरी में सुरक्षा खामियों का सफलतापूर्वक पता लगाया है, जिसमें OpenSSL एन्क्रिप्शन लाइब्रेरी में एक मध्यम गंभीरता की खामी भी शामिल है।
गूगल की ओपन-सोर्स सुरक्षा टीम ने एक साझा ब्लॉग पोस्ट में कहा: "इन खामियों की खोज ऑटोमेटेड बग डिटेक्शन के एक नए मील के पत्थर का प्रतीक है: प्रत्येक खामी AI द्वारा उत्पन्न और संवर्धित फज़िंग लक्ष्य के माध्यम से पाई गई है।"
चित्र स्रोत नोट: चित्र AI द्वारा जनित, चित्र अधिकृत सेवा प्रदाता Midjourney
इस बार पाए गए OpenSSL खामी का नंबर CVE-2024-9143 (CVSS स्कोर 4.3) है, जो एक बफर ओवरफ्लो त्रुटि के रूप में प्रकट होती है, जिससे एप्लिकेशन क्रैश हो सकता है या दूरस्थ कोड निष्पादन हो सकता है। यह समस्या OpenSSL के कई संस्करणों में ठीक की गई है, जिनमें 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb और 1.0.2zl शामिल हैं। गूगल ने बताया कि यह खामी कोड रिपॉजिटरी में लगभग 20 वर्षों से मौजूद हो सकती है, और पारंपरिक मानव-लिखित फज़िंग लक्ष्यों द्वारा इसका पता नहीं लगाया जा सका।
गूगल ने यह भी उल्लेख किया कि AI जनित फज़िंग लक्ष्यों की मदद से 272 C/C++ प्रोजेक्ट्स के कोड कवरेज में सुधार हुआ है, जिससे 370,000 से अधिक नई कोड लाइनों में वृद्धि हुई है। गूगल ने बताया कि कई त्रुटियों को नजरअंदाज किया जाता है क्योंकि कोड कवरेज यह नहीं दर्शाता कि कार्यक्षमता में कोई खामी नहीं है। केवल कोड कवरेज के इस संकेतक पर निर्भर रहकर सभी संभावित कोड पथों और स्थितियों को मापना संभव नहीं है, क्योंकि विभिन्न संकेत और कॉन्फ़िगरेशन विभिन्न व्यवहारों को ट्रिगर कर सकते हैं, जिससे विभिन्न खामियों का पता चलता है।
यह AI-सहायता प्राप्त बग खोजने की प्रक्रिया बड़े भाषा मॉडल (LLMs) के विकासकर्ताओं के फज़िंग वर्कफ़्लो का अनुकरण करने में उत्कृष्टता के कारण भी संभव हो पाई है, जिससे ऑटोमेशन की डिग्री बढ़ी है। इसके अलावा, गूगल ने इस महीने की शुरुआत में यह भी बताया कि इसके LLM आधारित ढांचे Big Sleep ने SQLite ओपन-सोर्स डेटाबेस इंजन में एक शून्य-दिन की खामी का पता लगाने में मदद की है।
अपने कोड रिपॉजिटरी की सुरक्षा को बढ़ाने के लिए, गूगल कोड को मेमोरी-सुरक्षित भाषाओं जैसे Rust में स्थानांतरित करने को बढ़ावा दे रहा है और मौजूदा C++ प्रोजेक्ट्स में स्पेशल मेमोरी सुरक्षा खामियों को ठीक कर रहा है। इसमें सुरक्षित बफर में स्थानांतरण और libc++ को हार्डन करना शामिल है, जो मानक C++ डेटा संरचनाओं में सीमा जांच जोड़कर महत्वपूर्ण स्पेशल सुरक्षा खामियों को समाप्त करता है। गूगल ने कहा कि इन सुधारों के कार्यान्वयन से होने वाला प्रदर्शन हानि बहुत कम है, औसतन केवल 0.30%।
गूगल ने आगे कहा कि हाल ही में ओपन-सोर्स योगदानकर्ताओं द्वारा जोड़ा गया हार्डन किया गया libc++ एक श्रृंखला सुरक्षा जांच लाता है, जिसका उद्देश्य उत्पादन वातावरण में बफर ओवरफ्लो जैसी खामियों को पकड़ना है। हालांकि C++ भाषा पूरी तरह से मेमोरी सुरक्षा को सुनिश्चित नहीं कर सकती, ये सुधार निश्चित रूप से जोखिम को कम करते हैं, जिससे सॉफ़्टवेयर अधिक विश्वसनीय और सुरक्षित बनता है।
मुख्य बिंदु:
🌟 गूगल के OSS-Fuzz टूल ने 26 ओपन-सोर्स प्रोजेक्ट्स में खामियों का पता लगाया, जिसमें लगभग 20 वर्षों पुरानी OpenSSL खामी भी शामिल है।
🔍 AI जनित फज़िंग लक्ष्यों ने 272 C/C++ प्रोजेक्ट्स के कोड कवरेज को बढ़ाया, जिससे 370,000 से अधिक नई कोड लाइनों में वृद्धि हुई।
🔒 गूगल कोड को मेमोरी-सुरक्षित भाषाओं में स्थानांतरित कर रहा है और C++ प्रोजेक्ट्स की सुरक्षा बढ़ाने के लिए हार्डन किया गया libc++ जैसे उपाय कर रहा है।
